瑞星卡卡安全论坛

昨天，剑盟管理员“悠悠我心”扔了个砖头：http://bbs.janmeng.com/thread-650905-1-1.html。俺接招一次。实机运行了一下那个样本。

那个014.exe是近期流行的一个木马群的主体。中毒后，系统中的病毒文件较多。
一旦中了，杀毒软件难以处理干净。原因在于那堆病毒DLL动态插入系统核心进程与用户运行的所有应用程序进程。
用SRENG扫日志，配合使用XDELBOX，删除日志中见到的病毒文件并不困难。困难的是：这样也难彻底清除这堆病毒。原因是：
1、SRENG日志并不能显示所有病毒文件。图1是根据SRENG日志以及自己按规律寻找，用XDELBOX删除的病毒文件（操作时丢了一个MSDEG32.DLL，重启后手工删除了。）
2、IE浏览器临时文件夹中有大量病毒.exe程序残留（图2）。不少用户没有清空IE临时文件夹的习惯。因此，尽管用XDELBOX删除了所有病毒文件，下次再用IE上网浏览时，病毒又卷土重来。造成病毒永远杀不净的假象。

关于SRENG日志不显示的病毒文件，可以根据这堆病毒的文件命名规律去找。找到后，添加到XDELBOX的“待删除文件列表”，与SRENG日志中可见到的病毒文件一并删除即可。
目前为止，这堆病毒文件命名的规律依然是：病毒文件成簇；每簇中的病毒文件名“前4个字母相同”；各簇病毒文件均位于%system%文件夹中。即：如果SRENG日志中可见“avwgcmn.dll”，那么avwgcmn.dll还有两个同伙，其文件名也以avwg开头，一个是.exe，另一个是.dll，路径均与avwgcmn.dll相同（位于%system%）。
另外，当前用户临时文件夹Temp中也可能存在病毒文件，用XDELBOX删除病毒文件时请一并删除。

这堆病毒添加的注册表项就不再详述。想必这些日子大家在求助者的SRENG日志中已经见的多了去了。如果有autoruns的基础日志，通过compare可以轻易找到这些货色，一一删除就是了。

另：中招者除了删除SRENG日志中见到的病毒加载项外，还须删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\分支下的AU。
此AU子键为病毒添加。其中的"NoAutoUpdate"=dword:00000001禁止WINDOWS自动更新。

另请注意：本帖只是以这类病毒的一个样本作为例子，说明手工查杀这类病毒的注意事项。大家可以参考，但不要生搬硬套帖子中提到的具体病毒文件名称。非系统分区根目录下的autorun.inf及其指向的.exe病毒文件，同样不要忽视。


图1

[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)


附件: 15584720071014225351.jpg

图2

附件: 15584720071014225417.jpg

Sreng日志没有扫描出来.不知道arswp能不能扫描出来.

猫叔，您说的：

另：中招者除了删除SRENG日志中见到的病毒加载项外，还须删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\分支下的AU。
此AU子键为病毒添加。其中的"NoAutoUpdate"=dword:00000001禁止WINDOWS自动更新。


添加的只有禁止自动更新这一个么？是不是还有其他的？
SRENG能扫出来这里被修改的全部DD么？


还有，不知道日志中反映是什么样。呵呵
如果可以，给俺个样本看看吧：）地址在签名里头，谢谢咯

也发现过SRENG不能完全把病毒扫出来的情况。
NETMEETING下面的DAT文件就扫不出来

引用:

【日不懂啊的贴子】猫叔，您说的： 另：中招者除了删除SRENG日志中见到的病毒加载项外，还须删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\分支下的AU。 此AU子键为病毒添加。其中的"NoAutoUpdate"=dword:00000001禁止WINDOWS自动更新。 添加的只有禁止自动更新这一个么？是不是还有其他的？ SRENG能扫出来这里被修改的全部DD么？ 还有，不知道日志中反映是什么样。呵呵 如果可以，给俺个样本看看吧：）地址在签名里头，谢谢咯 ………………

病毒添加的，当然不止那一个注册表项。
中毒后的SRENG日志我没保留（当时一心查找病毒文件）。这种日志这些日子多了。下面这个帖子附的日志就是一个很近似的例子：http://forum.ikaka.com/topic.asp?board=28&artid=8379956

【回复“日不懂啊”的帖子】
样本已发到571wind@163.com

样本已收到，谢谢猫叔

猫叔,也给我个样本~~~谢谢~~~

最近连上网都困难了，拿到样本了，也没的玩啊，郁闷中，555555

学习了

这病毒看着眼熟

好像是禁用自动更新和防火墙的

还有啊,那个SREng为什么不能显示全部病毒啊?

冒充MS数字签字还是什么技术隐藏了???

现在的马.下崽的能力好强了...

这些不易看到的病毒，以后会越来越多了。

光靠论坛上发贴求助，已经不是那么容易解决的了。

学习  谢谢 班竹们提供的更详细的信息 谢谢啦! 

(SRE扫描不到信息
杀毒软件根不上病毒 算了! TOOLS也跟不上 完了! 又得学习装系统了喽!
手动杀毒费时费力但是为了能杀"狗日的"病毒 乐意! 可现在不得瞄下系统盘!)

 

引用:

【孤独更可靠的贴子】学习了 这病毒看着眼熟 好像是禁用自动更新和防火墙的 还有啊,那个SREng为什么不能显示全部病毒啊? 冒充MS数字签字还是什么技术隐藏了??? ………………

很想知道

谢谢，我上新手，学习中。。。

还是搞不懂怎么杀啊，我是刚刚学的，那些我都看不懂在写什么。。

我中了..http://forum.ikaka.com/topic.asp?board=28&artid=8374801


[Telephots google / WindowsDo][Stopped/Auto Start]
<C:\WINDOWS\system32\servet.exe><N/A>
這項是病毒嗎??

歹人造“歹毒”，还会隐藏，够阴的!看来扫描软件功能也要改进了，学习猫叔的帖子。

引用:

【ling123456的贴子】我中了..http://forum.ikaka.com/topic.asp?board=28&artid=8374801 [Telephots google / WindowsDo][Stopped/Auto Start] <C:\WINDOWS\system32\servet.exe><N/A> 這項是病毒嗎?? ………………

是木马
看newcenturymoon版主的分析http://forum.ikaka.com/topic.asp?board=28&artid=8375335

我是新手，好羡慕高手们的技术，好想学习！！

请问版主，最近为什么会出现这么多的厉害的病毒，屡杀不止的病毒,还有Tarjan系列的病毒？？对此，斑竹您有什么应对办法和注意事项？？谢谢
呵呵[有些像采访]呵呵

学习，工欲善其事,必先利先其器

ding

藏

最好做个专杀，用来简单，效果良好！就成

Trojan.DL.Agent.guI这个病毒非常顽固，用最新的瑞星杀毒版本杀了无数次，杀出结果总是提示“重新启动计算机后删除”，可每次查杀，该病毒仍然存在，而且电脑速度很慢。这么顽固不化的病毒不是个无所谓的小玩意。瑞星软件应当给大家一个解决的办法

路径 C:\WINDOWS\system32
不要动不动就扫SRENG日志..... Trojan.DL.Agent.guI这个病毒非常顽固

引用:

【xzc2308的贴子】Trojan.DL.Agent.guI这个病毒非常顽固，用最新的瑞星杀毒版本杀了无数次，杀出结果总是提示“重新启动计算机后删除”，可每次查杀，该病毒仍然存在，而且电脑速度很慢。这么顽固不化的病毒不是个无所谓的小玩意。瑞星软件应当给大家一个解决的办法 路径 C:\WINDOWS\system32 不要动不动就扫SRENG日志..... Trojan.DL.Agent.guI这个病毒非常顽固 ………………

这个论坛是瑞星为用户提供的杀毒交流论坛。这里的版主、网友基本都不是瑞星的人。你说的“瑞星软件应当给大家一个解决的办法”我也同意。但是，它给出解决办法之前怎么办？等着？病毒就先那么养着？
不愿意扫SRENG日志？那就别扫。这里交流都是双方自愿的。求助方和施助方————谁也不强迫谁。

引用:

【xzc2308的贴子】Trojan.DL.Agent.guI这个病毒非常顽固，用最新的瑞星杀毒版本杀了无数次，杀出结果总是提示“重新启动计算机后删除”，可每次查杀，该病毒仍然存在，而且电脑速度很慢。这么顽固不化的病毒不是个无所谓的小玩意。瑞星软件应当给大家一个解决的办法 路径 C:\WINDOWS\system32 不要动不动就扫SRENG日志..... Trojan.DL.Agent.guI这个病毒非常顽固 ………………

我们也是跟你一样也是注册会员.只不过我们比你多会一点点.在这帮你们解决问题.学习一下而已.扫不扫日志.那是你的自由.

【回复“鬼头鬼脑144”的帖子】有同感